Команда разработчиков популярного текстового редактора Notepad++ сообщила о том, что официальный механизм обновлений был cкомпрометирован. В результате часть пользователей могла получать вредоносные файлы вместо легитимных обновлений.
Инфраструктурная атака, а не баг в коде
По словам автора проекта Донга Хо, злоумышленники не использовали уязвимости в самом Notepad++. Вместо этого они получили доступ к инфраструктуре хостинг-провайдера, на которой размещались серверы обновлений. Это позволило им перехватывать и перенаправлять трафик обновлений. Например, когда клиент WinGUp (сервис обновлений Notepad++) запрашивал новую версию, запрос направлялся на сервер под контролем злоумышленников.
Технические подробности реализованного механизма всё ещё расследуются, но очевидно, что атака происходила на уровне сети/хостинга, а не через ошибку в исходном коде редактора.
Сроки и масштабы компрометации
Атака, по оценкам экспертов, началась в июне 2025 года.
Злоумышленники сохраняли доступ к серверу хостинг-провайдера до 2 сентября 2025 года.
Даже после потери прямого доступа они продолжали использовать украденные учётные записи до 2 декабря 2025 года, что позволяло продолжать перенаправлять трафик обновлений на поддельные сервера.
Аналитики отмечают, что перенаправление трафика было прицельным и затрагивало только определённых пользователей, а не всех подряд.
Почему это стало возможным
Уязвимость к атаке была связана с недостаточной проверкой подлинности загружаемых файлов в механизме обновлений старых версий Notepad++. Обновляющее приложение WinGUp не всегда строго проверяло подписи и сертификаты скачиваемых файлов, что позволяло злоумышленникам подменять исполняемые пакеты.
Меры, предпринятые после инцидента
Чтобы устранить последствия и усилить безопасность:
Сайт и инфраструктура проекта мигрировали на нового хостинг-провайдера с более надёжными практиками безопасности.
В версии 8.8.9, выпущенной в декабре 2025 года, была улучшена проверка целостности и подлинности файлов обновлений, в том числе ужесточена проверка сертификатов.
Команда разработчиков уже заявила, что новые механизмы проверки будут обязательными в версии 8.9.2, выход которой ожидается в ближайшие недели.
Эти шаги направлены на то, чтобы подобная атака не повторилась и чтобы обновления Notepad++ оставались безопасными для всех пользователей.
Источник: HN